Log-Management: Sechs Schritte zum Erfolg

Ein gutes Log-Management-Tool ist Gold wert. Im Laufe der Zeit kann sich ein zunächst passendes Log-Management-System aber als falsche Wahl erweisen.

Mit dem richtigen Log-Management-Tool kann man den Verwaltungsaufwand der Log-Daten in einem Unternehmen bereits erheblich reduzieren. Allerdings kann sich ein anfangs gutes Tool sehr schnell zu einem schlechten entwickeln. Das trifft nämlich dann zu, wenn die Firma nicht bereit ist, die benötigte Zeit und Mühe zu investieren, um das Beste aus dem Tool herauszuholen. Der Autor zeigt Ihnen jetzt sechs bewährte Methoden, die eine erfolgreiche Anwendung des Log-Managements garantieren.

1. Ein Handbuch macht aus einem Narren noch keinen Handwerker!

Hüten Sie sich, Hunderttausende von Euro für ein Log-Management-System auszugeben, ohne dabei die erforderliche Zeit für dessen Installation und sachgemäße Verwaltung einzuplanen. Log-Management-Systeme müssen so konfiguriert sein, dass sie Daten und Ereignisse, die für das Unternehmen von Bedeutung sind, analysieren. So enthalten die Log-Nachrichten sowohl einen betriebswirtschaftlichen, als auch technischen Wert.

Ein weiterer beliebter Fehler besteht darin, einen vom System ausgelösten Alarm nicht ausführlich genug zu betrachten beziehungsweise zu analysieren, sodass wichtige sicherheitsrelevante Ereignisse unbemerkt bleiben. Machen Sie nicht den Fehler sich blindlings auf die neueste Log-Management-Technologie zu stürzen, ohne den dabei unbedingt erforderlichen Zweitaufwand aufzubringen zu können.

2. Rationalisieren Sie Ihre Ausschreibung, indem Sie die Anforderungen vorab definieren.

Das Erstellen einer Ausschreibung ist sehr zeitintensiv, doch einige Bedingungen können, sobald einmal festgelegt, bei künftigen Angebotsanfragen wiederverwendet werden. Das ist gerade bei Anforderungen an die Protokollierung häufig der Fall, da das, was erforderlich ist (Format der Log-Datei, Welche Daten auf der Log-Datei gesichert werden) im Grunde gleich bleibt. Ein weiterer Vorteil vordefinierter Anforderungen besteht darin, dass die vorher bestimmten Punkte während der Rationalisierung der Ausschreibung nicht ungewollt verändert werden können.

3. Stellen Sie sicher, dass alle notwendigen Informationen vorhanden sind!

Um effektive Korrelationsregeln aufstellen zu können, benötigt das Log-Management-System ausreichend Kontextdaten zur Analyse. Welchen genauen Ursprung, beispielsweise, hatte dieser Traffic oder diese Aktivität?

Zur Beantwortung dieser Frage benötigt man die Quell-IP-Adresse. Das Log-Management-System muss diese Information also protokollieren, um von der Engine analysiert werden zu können. Was ist damit auf dem Zielobjekt beziehungsweise der Zielanwendung passiert? Möchte ein Unternehmen die Korrelationsregeln und die Warnungen selbst schreiben, müssen solche Aktivitäten in den Log-Daten gespeichert werden.

4. Denken Sie über die bloße Berichterstattung hinaus.

Das Letzte was die meisten Firmen brauchen sind weitere Listen oder Tabellen mit endlosen Reihen an Daten und Informationen. Die verfügen darüber hinaus noch nicht einmal über ein übergeordnetes Analysemodell, das dem Ganzen vielleicht noch etwas Sinn und Übersicht verleihen könnte.

Die Alarmierung sollte nicht nur auf Merkmale von Einzelheiten ausgerichtet sein, sondern die Gesamtsituation zu erwartender oder zulässiger Aktivitäten mit einbeziehen. Denken Sie an das Einloggen bei kritischen Datenbanken. Im Durchschnitt gibt es zum Beispiel zwei fehlgeschlagene Login-Versuche. Nun wurde die Passwortabfrage jedoch geändert; von einem simplen, realen Wort, auf eine über achtstellige beliebige Zeichenfolge.

Es ist zu erwarten, dass die fehlerhaften Login-Versuche aus Gründen der Gewohnheit in der Anfangsphase zunehmen werden. Intelligente Log-Management-Systeme könnten darauf abgestimmt werden, solche Trends zu beobachten und Feedback an die Administratoren weiterzuleiten, damit sie die aktuellen Informationen eventuell dazu nutzen, die Empfindlichkeit des Alarms vorübergehend anzupassen.

5. Nutzen Sie Ihre Log-Daten, um herauszufinden, was los ist und was los war.

„Bei Stromausfällen sind Logs prima!“, denn sehr oft können alle zur Feststellung des Ausfalls nötigen Informationen direkt aus eben jener Log-Datei gewonnen werden. Während eines Notfalls handelt die Belegschaft oft reaktiv und verlässt sich dabei auf ihre Intuition oder Spekulation und auf winzig kleine Bruchstücke von Informationen. Die müssen sie dann mühsam zusammenzufügen, um letztlich herauszufinden, was hier eigentlich los ist beziehungsweise los war. Logs sind eine Aufzeichnung dessen, was tatsächlich passiert ist.

Mit Systemen, die es ihren Mitarbeitern ermöglichen, Berichte in Echtzeit zu verfassen, basierend auf den Informationen zum Ausfall, liefern die Erkenntnisse, die das Reaktionsteam benötigt, um zu verstehen, was im Netzwerk vor sich geht.

6. Denken Sie nicht nur an Sicherheit

Log-Management-Systeme eignen sich hervorragend dazu, Informationen diverser Sicherheitsanwendungen zu sammeln und zu analysieren, um damit ein Sicherheitsbewusstsein zu schaffen. Doch diese gewonnenen Informationen können auch für andere Zwecke verwendet werden.

Beispielsweise sind Unternehmen in der Lage, die Kundenerfahrung Ihrer Top-Ten-Geschäftsbeziehungen zu analysieren. Viele Reporting-Systeme aktueller Webanwendungen, die mit Zählpixeln oder Countern ausgestattet sind, bieten keine detaillierte Übersicht des tatsächlichen Nutzerverhaltens.

Anwendungen mit gut konzipierter Ereignisprotokollierung würden das Nutzerverhalten berücksichtigen und damit die Anwendungsmöglichkeiten des Log-Managements weit über das Thema Sicherheit hinaus ausweiten.

Über den Autor:
Diana Kelley ist Executive Security Advisor bei IBM Security Systems und eine international anerkannte Sicherheits-Expertin, strategischer Beraterin, Marktanalyst, Autorin und Rednerin. Sie verfügt über 25 Jahre IT-Security-Erfahrung einschließlich: Compliance-Fachberatung, Projektmanagement, System- und Netzwerk-Architektur, praktische Umsetzung und Beratung für Start-ups, große und mittelgroße Unternehmen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Datenschutz und Compliance

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close